Azure 上での Windows 10 の利用について
こんにちは、Azure サポート部の石井です。
Windows 10 クライアント OS が Azure 上にて利用可能となっており、利用にあたっての注意点などがまとまった情報が公開されました。
Windows 10 on クラウドのライセンス認証について
https://blogs.technet.microsoft.com/mskk-cloudos/2017/10/30/windows-10-on-%E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E3%81%AE%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/
この Blog ポストでは Windows 10 on Azure の要件についておさらいをします。
[前提条件]
1. ライセンス上の条件・アクティベーション
Windows 10 Enterprise E3/E5 または VDA E3/E5 Per User SL をお持ちのお客様である必要があります。Azure における Windows 10 の従量課金オプションは存在しませんので、ライセンスを別途ご購入いただかなければならない点にご注意ください。
また、このライセンスは、Windows 10 on クラウドのライセンス認証についての記事に記載の通り、Azure Active Directory (AAD) にライセンスを登録し、ユーザーに割り当てるという形で Windows 10 をアクティベーションすることが条件になります。
このユーザー ベースのアクティベーションが追加で必須となる点が特殊ですが、Windows Server 系 VM で行われているような、KMS ベースのライセンス認証も必要です。以下技術情報に記載の KMS ホスト ベースのライセンス認証ができる状態としておく必要があります。この点については Windows Server OS と動作は変わりません。
Azure 上の Windows Server 仮想マシンのライセンス認証
https://blogs.technet.microsoft.com/jpaztech/2017/10/25/activate_windowsvm_on_azure/
2. Windows のバージョンとエディションについて
Azure では、Windows 10 Creators Update (コードネーム RS2, バージョン 1703) 以降の Current Branch をサポートしています。
Windows 7、Windows 8.1 や、LTSB 版 Windows 10 の利用は不可能です。また、Windows 10 も、Current Branch のフェーズを終了したものは使えません。
[Azure Marketplace における Windows 10 イメージについて]
Windows 10 を Azure でご利用いただく際に選択いただく製品名はイメージは以下となります。Windows 10 のバージョンについてはくわしくはこちらもご参照ください。
<2018/5/25 更新>
- Windows 10 Pro, Version 1709 = 2017 年の Fall Creators Update、コードネーム RS3、バージョン 1709
Azure Marketplace からの最新版は Windows 10 Pro, Version 1709 になります。(まだ 1803 イメージは公開されていません。)
※ N という文字が入ったものもありますが、Windows Media Player のコンポーネントが事前にインストールされていない、という違いがあるだけです。
なお、Windows 10 Enterprise の利用が Windows 10 on Azure の製品条項に記載されているのに、なぜ Pro のイメージが公開されているかというと、Windows 10 のAzure での利用では、AAD のユーザーと統合したアクティベーションが必須となるからです。Windows 10 Enterprise E3/E5 のようなライセンスを AAD に紐づけ、ユーザー ベースの Windows 10 アクティベーションを行うことで、ユーザー ログイン時に Enterprise エディションに内部的にアップグレードされます。
最後に、Windows 10 でのカスタム イメージを作りたい場合の注意点をご紹介しておきます。
[おまけ:カスタム イメージの作成と注意点]
企業の利用にあたって、ソフトウェアや設定を標準化しておきたい場合、Azure Marketplace のイメージをカスタマイズすることになります。Windows イメージの一般化と、VM の再展開については以下の手順をご参照ください。
管理ディスク (Managed Disks) の “イメージ” リソースを使用し、仮想マシンを複数台展開する
https://blogs.technet.microsoft.com/jpaztech/2017/05/10/deployvmsfrommanagedimage/
Windows 10 のセットアップをしてから一般化をするまでに、Windows 10 OS に様々な共通設定をしておくことが可能です。メーカー製の PC を購入されたことのある方は多いかと思いますが、メーカー製 PC にプリインストールされているソフトが様々であったり、壁紙が機種固有のものにプリセットされていたり、といったことは、このフェーズで実現しています。
カスタマイズというと夢は広がりますが、設定ミスがある場合、あるいは、検証が行いきれないほどの過剰な設定をするとトラブルの元ですのでご注意ください。リスクを端的にいうと、このイメージのカスタマイズの段階で問題の発端となる設定をしてしまい、その後、それをもとに OS を展開した結果問題が表面化すると、問題によってはイメージを修復して再度 OS を作り直さなければ復旧できないといったものがある、ということです。
工業製品でいう、金型の部分の設計ミスがあるような感覚で、既にリリースしてしまった製品の回収をするだけでなく、金型を作り直して製品を作り直し、配布しなければならないのです。
以下が既知の注意事項です。
・グループ ポリシーやレジストリなどで UAC を無効にしないこと
・複数のユーザー プロファイルが存在した状態で Sysprep を実施しないこと (Sysprep の実行ユーザー以外のユーザー プロファイルを事前に削除してください)
・既知の事象がありますので、以下技術情報をご参照ください。
Windows 8 / Windows 8.1 / Windows 10 環境において、展開後の一部フォルダーに Low Mandatory Level アクセス権が付与されない
https://blogs.technet.microsoft.com/askcorejp/2016/01/24/windows-8-windows-8-1-low-mandatory-level-1/
・マスター イメージ作成の段階で、インターネット接続する前に、以下のポリシーを有効にすることを推奨いたします。
(インターネット経由でストア アプリの更新が自動インストールされることで Sysprep が失敗する事象を回避するため)
[コンピューターの構成]
- [管理用テンプレート]
- [Windows コンポーネント]
- [ストア]
・更新プログラムの自動ダウンロードおよび自動インストールをオフにする
※Sysprep 実行直前、インターネット接続から外した後に、本ポリシーを解除していただければ問題ございません。
・マスター イメージ作成の段階では可能な限りドメインに参加しないこと。不要なグループ ポリシーが当たってしまった環境で、のちに問題が発生した場合の切り分けが困難となります。
イメージ作成の段階でドメイン参加が必須の場合、参加 OU を分けるなど、なるべく不要なグループ ポリシーの適用を避けてください。
・クリーン インストールの状態の Windows 10 からカスタマイズをすること。Windows 10 Version 1511 よりアップグレードされた環境でも Sysprep 実施可能となりましたが、アップグレードされた環境はクリーン インストールの環境と異なり、Sysprep が失敗するリスクや Sysprep 後に不具合が生じるリスクも高くなります。可能な限りクリーン インストールの環境からマスター イメージを作成し Sysprep を実施してください。
・ Windows の追加機能やサードパーティ製品を含め、一般化までにセットアップする必要のある製品については、一般化がサポートされているかや、手順についてメーカーの情報を参照し、慎重に行って下さい。すべての製品が一般化からの再展開をサポートするわけではありません。非対応な製品にて、このようなことを行うと、展開した VM すべてにおいて不具合が出るといったことが想定されます。
・運用用途で使ったことのあるイメージの Sysprep は行わないで下さい。Sysprep はイメージを大量展開するためのひな形となり、一般化過程で初期化される項目が多くあります。カスタマイズ時の設定ひとつについても、展開後の十分な検証が必要となります。様々な変更が既に存在しており、管理者がそれを追跡できていない運用環境での一般化は不可能です。
注意事項としては以上となります。
Windows の技術サポート部隊において、「うっかりカスタマイズ時に設定ミスが発生してしまい、展開したシステム数十台で問題が出た。」というお問い合わせは多く報告されています。また、改善策が単純なものであればよいのですが、時にイメージを作り直して、再度システムを展開しなおすことだったといった事も少なからず存在します。これが物理的な PC でしたら、全台の改修騒ぎになりとてつもなくコストがかかることとなります。仮想環境であっても、既に多くのユーザーが使い始めている VM を削除し、再展開するとなると簡単なことではありません。
Azure では、VM のイメージ側のカスタマイズは最小限にし、展開後に VM にカスタマイズした設定を行ったり、アプリケーションを追加する、といった方針がおすすめです。Windows では、グループポリシーを使ったり、Powershell DSC を使う、といった形で様々なソフトウェアのセットアップや設定を、VM の展開後に行えます。